Le formjacking est une attaque informatique sournoise qui vise les aficionados du shopping en ligne en volant leurs données bancaires à leur insu. Dans un univers où le commerce électronique ne cesse de croître, cette technique représente un danger considérable pour la sécurité financière des utilisateurs. Elle peut même vider les comptes sans laisser la moindre trace visible.
Une attaque discrète, mais qui fait mal
Le formjacking fonctionne en injectant un script JavaScript malveillant directement dans la page de paiement d’un site e-commerce. Ce script récupère automatiquement des informations sensibles comme le numéro de carte bancaire, le nom du titulaire, la date d’expiration ainsi que le cryptogramme (les trois chiffres au dos de la carte). Ces données sont ensuite envoyées vers un serveur contrôlé par des cybercriminels. Pendant ce temps, l’utilisateur ne se doute de rien : la transaction se déroule normalement et il reçoit sa commande sans problème.
Avec l’explosion des paiements en ligne, les méthodes de vol ont évolué. Contrairement au skimming, qui implique de placer du matériel sur les terminaux de paiement, le formjacking s’effectue à distance sur des sites compromis. Cette approche permet aux malfaiteurs d’agir sans laisser de traces matérielles, ce qui rend la détection particulièrement difficile.
Des affaires marquantes et une détection compliquée
Un exemple emblématique de formjacking remonte à 2018 chez British Airways. Les serveurs ont été infiltrés pendant plus de deux semaines et, pendant cette période, les données bancaires de 380 000 clients ont été détournées. Cet incident a mis en lumière non seulement l’importance d’une détection rapide, mais aussi la difficulté pour même les grandes entreprises de se protéger contre ce type d’attaque.
La nature discrète du formjacking en fait une menace quasiment invisible. Benoît Grunemwald, expert en cybersécurité chez ESET, commente : « C’est une technique silencieuse et transparente. Il est presque impossible de la détecter. » Cette spécificité impose aux utilisateurs et aux sociétés d’adopter très tôt des mesures de protection et souligne l’importance de la vigilance.
Se protéger contre le formjacking
Pour éviter de tomber dans le piège du formjacking, plusieurs gestes peuvent être adoptés par les consommateurs. Il est recommandé de vérifier régulièrement ses relevés bancaires sur une application sécurisée ou directement sur le site de sa banque. Mettre en place une authentification à deux facteurs et choisir des mots de passe complexes pour chacun de ses services renforce également la sécurité.
- Installer une suite de sécurité robuste permet de détecter et bloquer les scripts malveillants avant qu’ils n’agissent, et suivre les recommandations de sécurité aide à se protéger.
- Utiliser des cartes virtuelles avec un plafond limité aide à limiter les dégâts en cas d’attaque réussie.
- Et en cas de mouvements bancaires suspects, faire opposition à sa carte bleue demeure une étape indispensable.
Les boutiques en ligne ont aussi tout intérêt à renforcer leurs défenses en utilisant des protocoles solides pour vérifier l’intégrité de leur code et en limitant l’accès à leurs prestataires tiers afin de réduire les risques.
Vers une baisse du phénomène
Depuis 2018, le phénomène du formjacking tend à diminuer grâce au renforcement des protections mises en place par de nombreux sites e-commerce. Des entreprises comme Avira continuent à proposer des solutions antivirus performantes pour contrer ces menaces invisibles.
La lutte contre le formjacking demande une vigilance face aux menaces constante de la part des consommateurs comme des entreprises. En améliorant sans cesse leurs systèmes de sécurité et en sensibilisant le public sur ce genre d’attaques, on peut espérer voir le nombre de ces incidents diminuer progressivement.
